Os pesquisadores da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd, fornecedora líder de soluções de cibersegurança global, revelam que um grupo de hackers chineses, conhecido por APT31, clonou um código de invasão de uma unidade de hackers sediada nos Estados Unidos, denominada “Equation Group”. O código clonado esteve em utilização entre o período de 2014 a 2017, três anos antes do grupo de atacantes ser exposto. A equipe de pesquisa da Check Point atribuiu ao código copiado o nome de “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2.500 anos.
Identificada pela primeira vez pela equipe de resposta a incidentes da empresa aeroespacial Lockheed Martin e exposta em detalhes pela Microsoft, em 2017, a ferramenta cibernética estava capacitada para implementar ataques de dia zero e elevação de privilégios em computadores com sistemas operacionais a começar pelo Windows XP até ao Windows 8. Assim, o atacante poderia, através desta ferramenta, movimentar-se livremente em dispositivos infectados, estando apto para instalar programas, visualizar, alterar ou excluir dados e, até mesmo, criar novas contas de administrador.
Grupo de hackers chinês faz clonagem de ferramenta cibernética dos Estados Unidos
A Microsoft lançou a devida correção (patch) para a vulnerabilidade ligada à ferramenta cibernética, documentando-a como CVE-2017-0005, uma vulnerabilidade do Windows LPE, e atribuindo a sua origem ao grupo de hackers chinês APT31. Novas evidências reveladas pela divisão Check Point Research determinaram que os hackers chineses clonaram e usaram ativamente o código do grupo do “Equation Group” (suspeito de estar vinculado à Agência de Segurança Nacional, a NSA, dos Estados Unidos).
O “EpMe” é o código de exploração do “Equation Group” para a vulnerabilidade CVE-2017-0005, sendo uma das quatro explorações LPE diferentes incluídas no framework de ataque DanderSpritz. DanderSpritz é a estrutura pós-exploração do “Equation Group” que contém uma ampla variedade de ferramentas para ataques persistentes, reconhecimento, movimento lateral, evitando os mecanismos de antivírus e muito mais. O “EpMe” remonta a pelo menos 2013, quatro anos antes de o APT31 explorar a vulnerabilidade em seu estado original.
Como houve m reaproveitamento da ferramenta de ataque do “Equation Group” para atingir os Estados Unidos, os pesquisadores da Check Point denominaram o instrumento de ataque do APT31 de “Jian”. Esta é referência à espada reta de dois gumes da China. A ferramenta “Jian” esteve operacional durante três anos, entre 2014 e 2017, até a Microsoft descobrir. Isso foi meses antes do grupo de hackers Shadow Brokers divulgar publicamente o código de espionagem da autoria do “Equation Group” (incluindo o “EpMe”).
Fases de ataque da “Jian”
Um ataque típico usando “Jian” contém três fases:
- Comprometer o computador que se pretende atacar;
- Alcançar os mais elevados privilégios de controle;
- Instalação completa de malware pelo atacante.
Ambas as versões desses ataques, “Jian” e “EpMe”, pretendem cumprir a segunda fase, na qual há privilégios de acesso do atacante. Após obter acesso inicial – por meio, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque -, a “Jian” concederá ao cibercriminoso os mais amplos privilégios no dispositivo infectado.
Revelação de exploração não relatada
A investigação da CPR sobre as raízes da “Jian” levou a uma coleção não documentada de explorações de escalonamento de privilégios que integravam o vazamento do Shadow Brokers em 2017. As quatro explorações compreendem a estrutura pós-exploração DanderSpritz do “Equation Group”, duas das quais passaram despercebidas até agora:
• EpMe – a ameaça de dia zero original para a vulnerabilidade CVE-2017-0005.
• EpMo – uma vulnerabilidade corrigida silenciosamente pela Microsoft após a divulgação pública.
De acordo com levantamento da Check Point Research, a vulnerabilidade “EpMo” nunca foi discutida publicamente até o momento. O patch para a EpMo foi implementada pela Microsoft em maio de 2017 sem CVE-ID aparente, parecendo ser um efeito colateral da divulgação do grupo Shadow Brokers.
“Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois do grupo Shadow Brokers ter exposto a operação do ‘Equation Group’ há quase quatro anos, ainda há muito a aprender ao analisar eventos passados. Só o fato de um módulo inteiro de exploração, contendo quatro explorações diferentes, ter se mantido sem ser notado por quatro anos no GitHub, isso nos ensina muito sobre a magnitude do vazamento em torno dos códigos do ‘Equation Group’ “, destaca Yaniv Balmas, chefe de pesquisa cibernética e produtos (P&D) da Check Point Software Technologies.
A nossa investigação é, essencialmente, a demonstração de como um grupo APT utiliza os códigos ou as ferramentas de outro grupo de ameaças persistentes avançadas para as suas próprias operações, fazendo com que seja mais difícil aos pesquisadores de segurança avaliar precisamente a natureza e atribuição dos ataques. Contudo, acreditamos que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa nos levar a novas conclusões, até agora desconsideradas pelo setor de segurança, conclui Balmas.